統合 Windows 認証 (IWA) を Eclipse ベースクライアントで有効にする

統合 Windows 認証 (IWA) は、提供されている Eclipse ベースのクライアントアプリケーションとサードパーティ製の Eclipse ベースのクライアントアプリケーションで使用可能で、Eclipse ベースの機能と the Notes® クライアント (埋め込み HCLSametime® など) 内のアプリケーションに対して SPNEGO 認証を有効にします。

注: IWA は、Notes® クライアント起動時の認証のメカニズムとしては使用できません。

IWA は、現在ログインしているユーザーの Windows 資格情報を使用して、ユーザーがシングルサインオンを実行できるようにする認証プロトコルです。SPNEGO は、クライアントとサーバーがどの認証プロトコルを使用するかをネゴシエーションできるようにする IWA の 1 メカニズムです。これらのプロトコルは NT Lan Manager (NTLM) と Kerberos に限定されています。セッション管理へのサポートは HTTP Cookie によって提供されます。

Domino® 管理者は、セキュリティ設定ポリシーを使用して IWA のサポートを指定するか、OS-CRED タイプのアカウントを作成してそのアカウントをクライアントユーザーにポリシーで適用するかのいずれかの方法を使用できます。

セキュリティポリシーで IWA を有効にするには:
  1. Domino® ディレクトリで、セキュリティ設定文書を作成するか、既存のものを編集します (8.5.3 NAMES.NSF 設計が必須)。
  2. [パスワード管理] タブにある [Standard 版 Notes クライアント用に Windows シングルサインオンを有効にする] フィールドで [はい] を選択します。
注: セキュリティ設定ポリシーで IWA 認証を有効にすると、ブラウザとネットワーク階層で、フィードやウィジェットなどのコンポーネントのみでそれがサポートされます。たとえば、ウィジェットカタログが SPNEGO で保護されたサイトにある場合で、クライアントユーザーが組み込みブラウザからカタログにアクセスする場合、そのユーザーはアカウントなしでカタログを認証します。

クライアントユーザー用に OS-CRED アカウントを作成すると、IWA が Notes® クライアント全体に対して自動的に有効になります。HCL Sametime® や HCL Connections などのアプリケーション固有のアカウントも、タイプ OS-CRED に変更できます。

IWA は TAM-SPNEGO アカウントも処理できます。TAM-SPNEGO アカウントタイプのユーザーは、クライアントの plugin_customization.ini ファイルを使用することによって そのアカウントを新規の IWA 互換 SPNEGO サポートを使用するように切り替えることができます。
注: このファイルは通常、Notes_install_dirframework\rcp サブディレクトリにあります。例:
Program Files\HCL\Notes\framework\rcp\plugin_customization.ini

Notes® をインストールまたはアップグレードする前、そのファイルは Notes® インストールキットのデプロイサブディレクトリ内にあります。

OS-CRED 認証を使用する代わりにすべての既存 TAM-SPNEGO アカウントを指定するには、以下のステートメントを追加します。
com.ibm.rcp.accounts/replace.tam.spnego=true
注: この設定用の、主に Sametime® によってコンシュームされる特定の Domino® ポリシーはありません。plugin_customization.ini ファイルの代わりとして、Domino® デスクトップポリシー設定文書の [カスタム設定] タブを使用してカスタム名と値のペアを定義するために設定を適用できます。ポリシーを使用して Eclipse 設定を適用する方法については、関連トピックを参照してください。
OS-CRED SPNEGO は自動的に有効になりません。有効にするには、既存の Domino® Administrator またはクライアントプリファレンスのユーザーインターフェースメソッドを使用して OS-CRED タイプの新規アカウントを作成します。または、以下のステートメントをクライアントの plugin_customization.ini ファイルに追加することによってプラットフォームプリファレンスを設定します。
com.ibm.rcp.net.http/enable.spnego=true
この機能は埋め込みのアクティビティサイドバーアプリケーションで使用できます。アカウント設定と同様に、クライアントプリファレンスの設定時に Connections 構成では認証タイプとして「OS 資格情報」が提供されるようになりました。クライアントの plugin_customization.ini ファイルで次のように Connections 構成が供給される場合にもサポートされます。
com.ibm.lconn.client.base/server=Connections_server_name
com.ibm.lconn.client.base/authtype=OS-CRED
SPNEGO 認証中に問題が発生する場合、rcpinstall.properties ファイル内の Eclipse レベルのロギングの設定を以下のように有効にできます。これにより、JVM と Notes® から、現在のシステムで使用しているログファイルへログ出力が提供されます。デフォルトでは、これは C:\Program Files\HCL\Notes\Data\workspace\logs になります。
com.ibm.rcp.accounts.level=FINEST
com.ibm.rcp.net.http.level=FINEST
com.ibm.rcp.security.spnego.level=FINEST

Eclipse ベースのクライアントに統合 Windows 認証 (IWA) を使用する際には、いくつかの考慮事項と制限事項に留意してください。

  • IWA はサポートされる Windows プラットフォームのみで使用可能です。
  • IWA は Notes® 8.5.3 以降でのみ使用可能です。
  • クライアント機能は、以下に示す限定された定義済みのサーバー設定のセットでテストされています。

    このサポートを利用するには、クライアントユーザーは、ドメインユーザーとして Windows にログインする必要があります。Windows へのログイン時に発生する認証により、必要な TGT (ticket-granting ticket) が生成されます。TGT なしでは、JVM SPNEGO サポートは動作しません。

  • Cross-realm と cross-forest の認証は、システムに存在する krb5.ini ファイルの使用を通してのみサポートされます。krb5.iniC:\Windows ディレクトリに存在する場合、このファイルの値がデフォルトのシステムプロパティに優先して使用されます。
  • Windows 7 と Windows Vista では、UAC が有効になっていると、SPNEGO は管理者グループのメンバーであるユーザーに対して動作しません。SPNEGO をこれらのプラットフォームで使用するには、システム特権を使用して Notes® を起動して UAC を無効にするか、管理ユーザーではないユーザーとしてログインするようにクライアントユーザーにアドバイスします。